Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: fail2ban  (Прочитано 693 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 918
    • Просмотр профиля
fail2ban
« : 06 Сентября 2016, 23:47:03 »
Доброго времени суток.

Настроил программу, она банит, если подключаются по ssh и вводят не правильный пароль.

Теперь нужно, то же самое проделать, только если в условие добавить подключение по ssh с ключами.
У меня, если пытаться входить с другими ключами не банится ни кто.
Что нужно изменить, чтобы заработало?


[sshd]
enabled = true
## имя в цепочке iptables
filter   = sshd
## если в течении 1 часа:
findtime    = 3600
## произведено 6 неудачных попыток логина:
maxretry    = 3
## то банить IP на 24 часа:
bantime     = 86400
## SSH port
port    = 9099
## log files
logpath = %(sshd_log)s
backend = %(sshd_backend)s
Ubuntu 22.04

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Re: fail2ban
« Ответ #1 : 07 Сентября 2016, 08:48:21 »
с другими ключами вообще не должен давать подключения!

Using username "username".
Server refused our key

Это авторизация только по ключу,когда по паролю отключено!

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: fail2ban
« Ответ #2 : 07 Сентября 2016, 10:01:30 »
djrust, так вопрос не в том что с другим ключом не даст соединиться, а в том, что бы такие попытки соединения банить.
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 918
    • Просмотр профиля
Re: fail2ban
« Ответ #3 : 07 Сентября 2016, 10:47:14 »
Вот именно. Ббанить такие попытки.
Ubuntu 22.04

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: fail2ban
« Ответ #4 : 07 Сентября 2016, 11:33:27 »
Что при попытке входа с неправильным ключом пишется в лог? Посмотрите, есть ли соответствующий регэксп в failregex фильтра sshd.

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 918
    • Просмотр профиля
Re: fail2ban
« Ответ #5 : 07 Сентября 2016, 13:48:58 »
Я перенастроил rsyslog. У меня в другую папку уходят логи по ssh. При не удачном подключении(если на сервере отсутствует такой публичный ключи) пишет:
Sep  7 13:47:11 server sshd[12773]: Connection closed by 185.13.2.144 [preauth]
Пользователь добавил сообщение 07 Сентября 2016, 13:52:07:
Да, и правда в failregex нет правила на этот случай.
Подскажите, где указывается путь к лог файлу и что нужно добавить в failregex?
« Последнее редактирование: 07 Сентября 2016, 13:52:07 от saifuddin »
Ubuntu 22.04

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2267
    • Просмотр профиля
Re: fail2ban
« Ответ #6 : 07 Сентября 2016, 14:03:54 »
У Вас в конфиге задан фильтр sshd
Цитировать
filter   = sshd
(это не имя в цепочке iptables, а имя конфигурационного файла в папке /etc/fail2ban/filter.d/

Т.е. все Вас интересующее смотрите в файле /etc/fail2ban/filter.d/sshd.conf

Имя лог-файла у Вас задано, как
Цитировать
logpath = %(sshd_log)s

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 918
    • Просмотр профиля
Re: fail2ban
« Ответ #7 : 07 Сентября 2016, 14:27:17 »
Да, filter   = sshd Задан.
logpath = /var/log/ssh_drop.log
Ubuntu 22.04

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28349
    • Просмотр профиля
Re: fail2ban
« Ответ #8 : 07 Сентября 2016, 16:28:33 »
Зачем для этого вообще fail2ban?
*filter
:INPUT DROP [19878:1661576]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4106255:2591679950]
:MC_TWITCH - [0:0]
:NOWAY - [0:0]
:SSH_CHECK - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate DNAT -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -s 192.168.1.0/27 -j ACCEPT
-A INPUT -s 192.168.56.0/24 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --dports 9,22,23,25,110,4899 -m conntrack --ctstate NEW -j SSH_CHECK
-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 81 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 9987 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8123 -m conntrack --ctstate NEW -j ACCEPT
-A NOWAY -p tcp -j REJECT --reject-with tcp-reset
-A NOWAY -j REJECT --reject-with icmp-port-unreachable
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource
-A SSH_CHECK -m conntrack --ctstate NEW -m recent --rcheck --seconds 90 --hitcount 4 --name SSH --rsource -j NOWAY
COMMIT
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Re: fail2ban
« Ответ #9 : 07 Сентября 2016, 17:00:44 »
djrust, так вопрос не в том что с другим ключом не даст соединиться, а в том, что бы такие попытки соединения банить.

Не понимаю. Толком опишите))))

Если ключ другой,то по умолчанию он выводит на авторизацию по логину и паролю. Которую просто надо закрыть...

Оффлайн saifuddin

  • Автор темы
  • Активист
  • *
  • Сообщений: 918
    • Просмотр профиля
Re: fail2ban
« Ответ #10 : 07 Сентября 2016, 23:17:32 »
AnrDaemon, Да, и правда работает правило. Но, как мне удалить из него запись(Unban ip)?
Ubuntu 22.04

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28349
    • Просмотр профиля
Re: fail2ban
« Ответ #11 : 07 Сентября 2016, 23:56:29 »
echo -IP | sudo tee /proc/net/xt_recent/SSH

Документацию иногда тоже читать надо.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.029 секунд. Запросов: 25.